企业想要满足欧盟《通用数据保护法案》(GDPR)合规性的***方式,就是假设自身并不需要保留个人数据,而不是通过与之相反的方式。
2018年5月,欧盟《通用数据保护法案》(GDPR)正式生效,对于GDPR合规性要求,一些尽职尽责地遵守该法规的企业也表现出了充分的自信心。但是,要知道,GDPR合规性规则并不像乍一看那么简单,每个公司都应该考虑其中的一些特殊用例。如果合规专员们只是对照表格打勾确认,并没有仔细评估GDPR的范围以及其与公司数据收集实践的关系,那么他们肯定会在合规计划中出现纰漏。
以下是公司最容易忽略的3个GDPR合规性问题,其中任何一个问题都足以使公司陷入危险境地:
1. GDPR合规性不仅仅与消费者数据有关
GDPR旨在为消费者(其数据被各种不同的公司所收集)提供更多保护。但是,其监管的范围更为广泛,并且可以以许多公司在其初始合规计划中未曾考虑的方式进行应用。除了消费者个人数据外,公司还需要采用新的保护标准来处理员工、求职者以及非客户(例如,填写了个人信息但并未购买公司商品或服务的人)的个人数据。
法规规定所有数据处理活动都要有法律依据,因此***做法是仅收集消费者、求职者及其间所有人的基本数据处理活动所必需的数据。公司应以数据最小化为目标评估其数据处理实践,以便确保GDPR下的合规性。
建议:
不要只审查数据获取实践,还要审查所有数据的数据保留实践。确保您正确地处理了旧的求职简历、员工个人数据以及其他任何已经过使用期限的记录。
2. 政策vs.现实
任何旨在处理个人数据的公司都必须制定政策,来规范数据收集、存储和处理的流程,以确保其与GDPR保持一致。虽然良好的数据治理是GDPR合规性的基石,但仅仅制定政策并不足以实现合规性。公司必须更进一步,以确保员工履行GDPR规定的数据处理义务。本质上来说,这就意味着公司有义务确保员工日常工作与GDPR政策保持一致。如果员工的行为不符合公司的标准,则必须采取纠正措施。
通常情况下,员工违反政策多属无意——例如,如果客户支持代理人与之在线通话,并将该客户的个人信息保存在不属于该客户的系统中;或者,如果某个***进取心的员工尝试使用新软件或建立免费软件即服务账户,并忘记将其报告给公司的合规专员等等。虽然上述情况可能看起来无关紧要,但却会为公司带来很大的风险,因为这两个例子都属于GDPR违规行为。
建议:
为了降低风险,我们建议您经常进行“迷你”审核。我们的安全与合规团队已经客观切实地了解到:只有当审核成为工作流程的一部分时,合规性才最容易纳入日常工作流程之中。虽然大多数公司会进行季度审核,再不济也会进行年度审核,但是我们提出的“迷你”审核概念将向各公司发出信号——即合规性并不是年度或季度事件,而是一种持续性的做法。更好的实践方式是,使用工具自动化审核流程,这样一来,当政策与现实发生偏差时就能立即得到反馈。
3. 临界情况
GDPR“个人信息”中所囊括的数据可不像基本的人口统计信息一样简单。例如,“职称”就是一种意想不到的个人信息。大多数情况下,职称并不被视为受GDPR保护的个人信息,但这也要视具体情况而定。例如,试想一下这个职称:德国总理。毫无疑问,当今世界上只有一个人拥有这样一个职位,这也就意味着个人的身份可以通过这个特定的细节来揭示。因此,在这种情况下,职称就必须被视为GDPR所提及的“个人信息”,自然也就属于受保护的数据类别。问题在于,如果一个职位名称被视为个人信息,那么所有的职称都必须被视为潜在的个人信息,并得到同等的对待。
建议:
作为常规数据审核的一部分,请花一些时间查看您所收集的未标记为个人信息的数据。试想一下,如果只使用“非个人”信息进行标注,您能够分辨清楚该数据点是否属于特定人员吗?如果不能,您可能需要重新考虑一下究竟什么是个人信息,什么不是了。
满足GDPR合规性要求要比我们所能想象的更为复杂和广泛,但它也绝非一项不可能实现的标准。***的建议是,假设您不需要任何数据,而不是像您现在所实践的这样——收集、存储尽可能多的数据。只有这样本着GDPR保护客户数据的本质精神——公司才有可能为其用户提供***水准的个人数据保护,并确保在整个组织内尽职尽责地完成个人数据处理任务。
极牛网精选文章《公司容易忽略的3个GDPR合规性问题,你踩雷没?》文中所述为作者独立观点,不代表极牛网立场。如若转载请注明出处:https://geeknb.com/7916.html